Descubren vulnerabilidades en el mecanismo de pago por móvil de Xiaomi

  • Seguridad

Los pagos con el móvil se han hecho muy populares y se han convertido en una forma de cobro habitual en todo el mundo. Según el II Estudio de tendencias de pago móvil en España, realizado por Pecunpay, en colaboración con Visa, ya son casi el 40% de los españoles encuestados afirma que utiliza su móvil para pagar sus compras. Pues bien, investigadores de Check Point Research (CPR) han identificado vulnerabilidades en el mecanismo de pago por móvil de Xiaomi.

En concreto, las vulnerabilidades se encontraron en el Trusted Environment de Xiaomi, encargado de almacenar y gestionar información sensible como claves y contraseñas. Si se dejan sin parchear, un atacante podría robar las claves privadas utilizadas para firmar los paquetes de control y pago de Wechat Pay. En el peor de los casos, una aplicación Android sin privilegios podría haber creado y firmado un paquete de pago falso.

CPR descubrió dos formas de atacar el código de confianza: desde una aplicación Android sin privilegios, en la que el usuario instala una aplicación maliciosa que extrae las claves y envía un paquete de pago falso para robar el dinero; o si el ciberdelincuente tiene los dispositivos objetivo en sus manos, los rootea, luego baja el entorno de confianza y después ejecuta el código para crear un paquete de pago falso sin necesidad de una aplicación.

Check Point Research ha colaborado con Xiaomi, que reconoció las vulnerabilidades y proporcionó correcciones para las mismas.

“Nuestra investigación es la primera que se hace para revisar las aplicaciones de confianza de Xiaomi en busca de problemas de seguridad. Inmediatamente comunicamos nuestros hallazgos a Xiaomi, que trabajó rápidamente para emitir una solución. Lo que queremos decir a los usuarios es que se aseguren constantemente de que sus teléfonos están actualizados con la última versión proporcionada por el fabricante. Si ni siquiera los pagos por móvil son seguros, ¿qué lo es?”, explica Slava Makkaveev, investigador de seguridad de Check Point Software.